CN116192523A - 一种基于神经网络的工控异常流量监测方法和系统 - Google Patents
一种基于神经网络的工控异常流量监测方法和系统 Download PDFInfo
- Publication number
- CN116192523A CN116192523A CN202310203151.6A CN202310203151A CN116192523A CN 116192523 A CN116192523 A CN 116192523A CN 202310203151 A CN202310203151 A CN 202310203151A CN 116192523 A CN116192523 A CN 116192523A
- Authority
- CN
- China
- Prior art keywords
- layer
- vector
- input
- industrial control
- abnormal flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Feedback Control In General (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开了基于神经网络的工控异常流量监测方法和系统,方法包括:S1数据预处理,提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成多维向量;S2构建特征提取器进行特征提取,得到特征向量;S3构建多层感知机分类器进行分类,初始化模型参数;S4根据预测类别和实际类别,调整模型参数,继续进行模型训练;S5重复步骤S4直到工控异常流量监测模型收敛;S6将实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。本发明利用Transformer中的多头机制,有效提取工控系统中流量之间的多维关系和特征,并使用MLP对输入流量进行分类,对异常流量进行有效监测。
Description
技术领域
本发明属于工控技术领域,尤其涉及一种基于神经网络的工控异常流量监测方法和系统。
背景技术
工业控制系统作为国家关键基础设施的核心,被广泛应用于电力、通信等多个行业中。工控异常检测方法变得尤为重要。在当前已部署纵向加密装置、网络安全监测装置的现状下,攻击者更倾向于采用高级定制化攻击,即利用正常业务通道开展攻击。这种攻击手段极其隐蔽,更易造成严重影响。针对工控系统的攻击越来越专业化/复杂化,因此,现有大量研究探索了工控异常流量的检测方法,主要有基于规则的检测方法、基于统计分析的检测方法和基于机器学习的检测方法。
随着大数据技术和人工智能技术的快速发展,网络异常流量监测方法开始向机器学习方面拓展。有许多研究探索了机器学习在网络异常流量监测中的应用,比如利用卷积神经网络的流量异常检测方法通过构建卷积神经网络预测网络流量,获得网络流量预测值,确定基于阈值的异常检测机制,实现网络流量的异常检测。
目前,有许多研究探索了机器学习在网络异常流量监测中的应用,这些研究对正常行为和攻击行为进行分类,基于机器学习方法构建模型,具有一定的检测效果。然而,与传统异常流量检测相比,工业网络环境复杂,各种类型的控制设备的通信协议、交互方式也有较为明显的特点,由于网络协议的异构性以及交互的多样性,传统异常检测算法在工业控制系统中不适用。对于网络中的一些异常行为检测,流量数据包的到达时间顺序往往也可以作为一个重要特性。基于卷积神经网络的方法无法利用时序数据的数据的时序特性,不能充分挖掘数据的特点。通过对工业控制网络协议通信机制和流量数据包动态特性的分析,可以发现工控网络流量检测与自然语言文本处理具有相似性,因为流量包的时序性特征,可以考虑用RNN模型,然而,RNN本身的序列依赖结构对于大规模并行计算来说并不友好,很难具备高效的并行计算能力。
发明内容
基于以上提到的技术问题,本发明提出一种基于transformer的工控异常流量监测方法和系统,这种方法能够充分考虑工控流量的特点,对异常流量进行有效监测。本发明的目的是提出一种基于transformer的工控异常流量监测方法。解决现有机器学习异常流量监测方法无法有效提取工控流量特有特征的问题。
为了实现上述目的,本发明第一方面公开的基于神经网络的工控异常流量监测方法,包括以下步骤:
S1、数据预处理,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;
S2、构建特征提取器进行特征提取,得到特征向量;
S3、构建多层感知机分类器进行分类,初始化模型参数;
S4、根据预测类别和实际类别,调整模型参数,继续进行模型训练;
S5、重复步骤S4直到工控异常流量监测模型收敛;
S6、将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
进一步的,所述元信息至少为时间戳、包头长度、载荷字节数、源IP地址、目的IP地址、源端口、目的端口、传输协议、数据包FIN、SYN、PSH、RST、ACK、CWR、URG、ECE配置标识、初始化窗口大小之一。
进一步的,步骤S2中构建的特征提取器为Transformer网络,Transformer的编码器由若干个Transformer Block堆叠成的,单个Transformer Block包括多头注意力机制和前馈神经网络。
进一步的,步骤S2特征提取的步骤如下:
S21.由输入层将输入的时间序列数据映射到高维的向量,然后将输入的向量与时序编码向量逐元素相加,对其进行时序编码,得到结果embed向量;时序编码计算公式如下:
其中,接收流量包的过程看成是一个时序序列,pos指该时序序列中某个时刻下的特征向量的位置,取值范围为[0, 最大序列长度];是特征维度,i表示在时序编码向量中的索引,取值范围为/>;上面的函数使得模型学习到特征向量之间的相对位置关系,输入层还在特征向量前面添加了一个[class]向量以区分流量的业务类型;
S22.将经过时序编码的embed向量输入transformer网络的编码器中,经过多头注意力机制层得到最终的特征向量;
在所述的多头注意力机制层中, 首先通过计算得到注意力权重矩阵,权重是计算比较Q和K的相似度通过训练得到的;在每个注意力头上,流量数据包的embed向量作为输入向量X,对每个输入向量X,创建三个向量:Query向量、Key向量和Value向量,它们通过输入向量分别和3个注意力权重矩阵相乘得到;通过计算向量的Query向量和其余每个向量的Key向量的点积得到注意力分数并进行归一化操作,最后乘以Value向量,输出特征矩阵Z,这个矩阵包含了所有注意力头的信息。
进一步的,步骤S3中,MLP的结构由一个输入层,若干个隐藏层和一个输出层组成,输入的特征向量连接到隐藏层的神经元,隐藏层的神经元再连接到输入层的神经元,层与层间是全连接的。
进一步的,步骤S3中分类的步骤如下:
S31.由输入层将输入的特征向量与权重w相乘后,与偏置b相加后调用激活函数得到第一层隐藏层的向量,计算公式如下:
其中,X由x1,x2,x3输入向量化所得,输入层与第一层隐藏层存在权重w1,第一层隐藏层与第二层隐藏层间存在权重w2,依次类推,将w1,w2,w3权重向量化得到W,b为偏置,将b1,b2,b3偏置向量化得到b;Z为输入值的线性组合,A为Z通过激活函数ReLU得到的值,A也作为下一层的输入;
S32.第n层隐藏层对第n-1层隐藏层的输出进行处理,计算公式如下:
其中,激活函数为ELU函数;
S33.输出层对最后一层隐藏层的输出进行处理,计算公式如下:
其中使用Softmax作为激活函数,将多个神经元的输出映射到(0,1)的区间,表示当前输入为该类的概率,最终选择概率最大的类别作为预测目标,其中类别分为正常/异常/可疑流量。
本发明第二方面公开的基于神经网络的工控异常流量监测系统,包括:
数据预处理模块,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;
特征提取模块,构建特征提取器进行特征提取,得到特征向量;
分类模块,构建多层感知机分类器进行分类,初始化模型参数;
训练模块,根据预测类别和实际类别,调整模型参数,继续进行模型训练;
迭代模块,重复步骤5直到工控异常流量监测模型收敛;
监测模块,将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
本发明的有益效果是:
发明基于transformer的encoder结构,利用Transformer中的Multi-HeadAttention机制,有效发现和提取工控系统中流量之间的多维关系和特征,并使用MLP对输入流量进行分类,对异常流量进行有效监测。
附图说明
图1本发明基于transformer的工控异常流量监测方法流程示意图;
图2本发明基于transformer的工控异常流量监测的整体结构;
图3本发明多头注意力机制结构示意图;
图4 本发明MLP结构示意图;
图5本发明异常行为检测流程示意图。
具体实施方式
下面结合附图对本发明作进一步的说明,但不以任何方式对本发明加以限制,基于本发明教导所作的任何变换或替换,均属于本发明的保护范围。
本发明构建一种基于transformer的工控异常流量监测模型,包括以下步骤:
S1、数据预处理,获取异常流量样本数据的特征向量。提取包粒度的原始数据中网络层、传输层的元信息。具体为解析传输层以下的数据包元信息,包含时间戳,包头长度,载荷字节数,源IP地址,目的IP地址,源端口,目的端口,传输协议,数据包FIN、SYN、PSH、RST、ACK、CWR、URG、ECE配置标识,初始化窗口大小等信息。将原始数据向量化,形成一个多维向量。
S2、构建特征提取器进行特征提取,得到特征向量。
S2中构建的特征提取器为Transformer网络,Transformer的编码器结构如图1所示:编码器encoder是由若干个Transformer Block堆叠成的,单个的Transformer Block主要由两部分组成:多头注意力机制(Multi-Head Attention)和前馈神经网络(FeedForward)。其中,多头注意力机制(Multi-Head Attention)的结构如图4所示,为广泛使用的现有技术。如图2所示,数据预处理将数据包进行解析后,提取特征向量并输入Transformer编码器中,并通过MLP头进行分类。
特征提取的主要步骤如下:
S21.由输入层将输入的时间序列数据映射到高维的向量,然后将输入的向量与时序编码向量逐元素相加,对其特征进行时序编码,得到结果embed向量。时序编码计算公式如下:
步骤S21所述的时序编码中,pos指一段序列中某个时刻特征的位置。接收流量包的过程可以看成是一个时序序列,pos指该时序序列中某个时刻下的特征向量的位置。取值范围为[0, 最大序列长度];是特征维度,i表示在时序编码向量中的索引,取值范围为/>;上面的函数使得模型学习到特征向量之间的相对位置关系,输入层还在特征向量前面添加了一个[class]向量以区分流量的业务类型。
S22.将经过时序编码的embed向量输入transformer网络的编码器中,经过多头注意力机制层得到最终的特征向量。
在步骤S22所述的多头注意力机制层中, 首先通过计算得到注意力权重矩阵,权重是计算比较Q和K的相似度通过训练得到的。在每个注意力头上,流量数据包的embed向量作为输入向量X,对每个输入向量X,创建三个向量:Query向量、Key向量和Value向量,它们通过输入向量分别和3个注意力权重矩阵相乘得到;通过计算向量的Query向量和其余每个向量的Key向量的点积得到注意力分数并进行归一化操作,最后乘以Value向量,输出特征矩阵Z,这个矩阵包含了所有注意力头的信息。
S3、构建多层感知机(MLP)分类器进行分类,初始化模型参数。
进一步的,步骤S3中,MLP的结构由一个输入层,若干个隐藏层和一个输出层组成,输入的特征向量会连接到隐藏层的神经元,隐藏层的神经元再连接到输入层的神经元,层与层间是全连接的。
分类的主要步骤如下:
S31.由输入层将输入的特征向量与权重w相乘后,与偏置b相加后调用激活函数得到第一层隐藏层的向量,计算公式如下:
步骤S31所述的计算中,X由x1,x2,x3输入向量化所得,输入层与第一层隐藏层存在权重w1,第一层隐藏层与第二层隐藏层间存在权重w2,依次类推,将w1,w2,w3权重向量化得到W,b为偏置,与W同理。Z为输入值的线性组合,A为Z通过激活函数ReLU得到的值,A也作为下一层的输入。
S32.第n层隐藏层对第n-1层隐藏层的输出进行处理,计算公式如下:
步骤S32所述的计算中,相应的参数与步骤S1中类似,但激活函数改为ELU函数。
S33.输出层对最后一层隐藏层的输出进行处理,计算公式如下:
步骤S33所述的计算中,与之前计算的不同为改用Softmax作为激活函数,Softmax用于多分类过程中,将分数进行归一化处理,使得它们都为正数并且和为1,取值范围为(0,1),可以将多个神经元的输出映射到(0,1)的区间,表示当前输入为该类的概率,最终选择概率最大的类别作为预测目标。在本方案中,流量类型分为正常/异常/可疑流量。
S4、根据预测类别和实际类别,调整模型参数,继续进行模型训练。
S5、重复步骤S4直到工控异常流量监测模型收敛。
S6、将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型以达到监测异常流量的目的。
本发明还提供一种基于神经网络的工控异常流量监测系统,包括:
数据预处理模块,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;
特征提取模块,构建特征提取器进行特征提取,得到特征向量;
分类模块,构建多层感知机分类器进行分类,初始化模型参数;
训练模块,根据预测类别和实际类别,调整模型参数,继续进行模型训练;
迭代模块,重复迭代训练模块直到工控异常流量监测模型收敛;
监测模块,将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
本发明的有益效果是:
本发明基于transformer的encoder结构,利用Transformer中的Multi-HeadAttention机制,有效发现和提取工控系统中流量之间的多维关系和特征,并使用MLP对输入流量进行分类,对异常流量进行有效监测。
本文所使用的词语“优选的”意指用作实例、示例或例证。本文描述为“优选的”任意方面或设计不必被解释为比其他方面或设计更有利。相反,词语“优选的”的使用旨在以具体方式提出概念。如本申请中所使用的术语“或”旨在意指包含的“或”而非排除的“或”。即,除非另外指定或从上下文中清楚,“X使用A或B”意指自然包括排列的任意一个。即,如果X使用A;X使用B;或X使用A和B二者,则“X使用A或B”在前述任一示例中得到满足。
而且,尽管已经相对于一个或实现方式示出并描述了本公开,但是本领域技术人员基于对本说明书和附图的阅读和理解将会想到等价变型和修改。本公开包括所有这样的修改和变型,并且仅由所附要求的范围限制。特别地关于由上述组件(例如元件等)执行的各种功能,用于描述这样的组件的术语旨在对应于执行所述组件的指定功能(例如其在功能上是等价的)的任意组件(除非另外指示),即使在结构上与执行本文所示的本公开的示范性实现方式中的功能的公开结构不等同。此外,尽管本公开的特定特征已经相对于若干实现方式中的仅一个被公开,但是这种特征可以与如可以对给定或特定应用而言是期望和有利的其他实现方式的一个或其他特征组合。而且,就术语“包括”、“具有”、“含有”或其变形被用在具体实施方式或权利要求中而言,这样的术语旨在以与术语“包含”相似的方式包括。
本发明实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以多个或多个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。上述的各装置或系统,可以执行相应方法实施例中的存储方法。
综上所述,上述实施例为本发明的一种实施方式,但本发明的实施方式并不受所述实施例的限制,其他的任何背离本发明的精神实质与原理下所做的改变、修饰、代替、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (7)
1.一种基于神经网络的工控异常流量监测方法,其特征在于,包括以下步骤:
S1、数据预处理,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;
S2、构建特征提取器进行特征提取,得到特征向量;
S3、构建多层感知机分类器进行分类,初始化模型参数;
S4、根据预测类别和实际类别,调整模型参数,继续进行模型训练;
S5、重复步骤S4直到工控异常流量监测模型收敛;
S6、将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
2.根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,所述元信息至少为时间戳、包头长度、载荷字节数、源IP地址、目的IP地址、源端口、目的端口、传输协议、数据包FIN、SYN、PSH、RST、ACK、CWR、URG、ECE配置标识、初始化窗口大小之一。
3. 根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,步骤S2中构建的特征提取器为Transformer网络,Transformer的编码器由若干个TransformerBlock堆叠成的,单个Transformer Block包括多头注意力机制和前馈神经网络。
4.根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,步骤S2特征提取的步骤如下:
S21.由输入层将输入的时间序列数据映射到高维的向量,然后将输入的向量与时序编码向量逐元素相加,对其特征进行时序编码,得到结果embed向量;时序编码计算公式如下:
其中,接收流量包的过程看成是一个时序序列,pos指该时序序列中某个时刻下的特征向量的位置,取值范围为[0, 最大序列长度];是特征维度,i表示在时序编码向量中的索引,取值范围为/>;上面的函数使得模型学习到特征向量之间的相对位置关系,输入层还在特征向量前面添加了一个[class]向量以区分流量的业务类型;
S22.将经过时序编码的embed向量输入transformer网络的编码器中,经过多头注意力机制层得到最终的特征向量;
5.根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,步骤S3中,MLP的结构由一个输入层,若干个隐藏层和一个输出层组成,输入的特征向量连接到隐藏层的神经元,隐藏层的神经元再连接到输入层的神经元,层与层间是全连接的。
6.根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,步骤S3中分类的步骤如下:
S31.由输入层将输入的特征向量与权重w相乘后,与偏置b相加后调用激活函数得到第一层隐藏层的向量,计算公式如下:
其中,X由x1,x2,x3输入向量化所得,输入层与第一层隐藏层存在权重w1,第一层隐藏层与第二层隐藏层间存在权重w2,依次类推,将w1,w2,w3权重向量化得到W,b为偏置,将b1,b2,b3偏置向量化得到b;Z为输入值的线性组合,A为Z通过激活函数ReLU得到的值,A也作为下一层的输入;
S32.第n层隐藏层对第n-1层隐藏层的输出进行处理,计算公式如下:
其中,激活函数为ELU函数;
S33.输出层对最后一层隐藏层的输出进行处理,计算公式如下:
其中使用Softmax作为激活函数,将多个神经元的输出映射到(0,1)的区间,表示当前输入为该类的概率,最终选择概率最大的类别作为预测目标,其中类别分为正常/异常/可疑流量。
7.一种基于神经网络的工控异常流量监测系统,其特征在于,包括:
数据预处理模块,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;
特征提取模块,构建特征提取器进行特征提取,得到特征向量;
分类模块,构建多层感知机分类器进行分类,初始化模型参数;
训练模块,根据预测类别和实际类别,调整模型参数,继续进行模型训练;
迭代模块,重复迭代训练模块直到工控异常流量监测模型收敛;
监测模块,将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310203151.6A CN116192523A (zh) | 2023-03-06 | 2023-03-06 | 一种基于神经网络的工控异常流量监测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310203151.6A CN116192523A (zh) | 2023-03-06 | 2023-03-06 | 一种基于神经网络的工控异常流量监测方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116192523A true CN116192523A (zh) | 2023-05-30 |
Family
ID=86444269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310203151.6A Pending CN116192523A (zh) | 2023-03-06 | 2023-03-06 | 一种基于神经网络的工控异常流量监测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116192523A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116662811A (zh) * | 2023-06-13 | 2023-08-29 | 无锡物联网创新中心有限公司 | 一种工业设备的时序状态数据重构方法及相关装置 |
CN116933195A (zh) * | 2023-07-31 | 2023-10-24 | 浙江大学 | 一种基于深度学习的加密流量异常检测方法及装置 |
CN117354042A (zh) * | 2023-11-14 | 2024-01-05 | 龙坤(无锡)智慧科技有限公司 | 一种动态监控的边缘网关设备异常流量监测方法 |
CN117544416A (zh) * | 2023-12-28 | 2024-02-09 | 东莞本凡网络技术有限公司 | 一种智能物联网异常流量预测系统 |
CN117579400A (zh) * | 2024-01-17 | 2024-02-20 | 国网四川省电力公司电力科学研究院 | 一种基于神经网络的工控系统网络安全监测方法及系统 |
-
2023
- 2023-03-06 CN CN202310203151.6A patent/CN116192523A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116662811A (zh) * | 2023-06-13 | 2023-08-29 | 无锡物联网创新中心有限公司 | 一种工业设备的时序状态数据重构方法及相关装置 |
CN116662811B (zh) * | 2023-06-13 | 2024-02-06 | 无锡物联网创新中心有限公司 | 一种工业设备的时序状态数据重构方法及相关装置 |
CN116933195A (zh) * | 2023-07-31 | 2023-10-24 | 浙江大学 | 一种基于深度学习的加密流量异常检测方法及装置 |
CN117354042A (zh) * | 2023-11-14 | 2024-01-05 | 龙坤(无锡)智慧科技有限公司 | 一种动态监控的边缘网关设备异常流量监测方法 |
CN117544416A (zh) * | 2023-12-28 | 2024-02-09 | 东莞本凡网络技术有限公司 | 一种智能物联网异常流量预测系统 |
CN117544416B (zh) * | 2023-12-28 | 2024-04-30 | 东莞本凡网络技术有限公司 | 一种智能物联网异常流量预测系统 |
CN117579400A (zh) * | 2024-01-17 | 2024-02-20 | 国网四川省电力公司电力科学研究院 | 一种基于神经网络的工控系统网络安全监测方法及系统 |
CN117579400B (zh) * | 2024-01-17 | 2024-03-29 | 国网四川省电力公司电力科学研究院 | 一种基于神经网络的工控系统网络安全监测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116192523A (zh) | 一种基于神经网络的工控异常流量监测方法和系统 | |
Chouhan et al. | Network anomaly detection using channel boosted and residual learning based deep convolutional neural network | |
Ieracitano et al. | Statistical analysis driven optimized deep learning system for intrusion detection | |
CN110287983B (zh) | 基于最大相关熵深度神经网络单分类器异常检测方法 | |
Yang et al. | TLS/SSL encrypted traffic classification with autoencoder and convolutional neural network | |
Song et al. | Encrypted traffic classification based on text convolution neural networks | |
US11438356B2 (en) | Deep embedded self-taught learning system and method for detecting suspicious network behaviours | |
Hao et al. | Variant gated recurrent units with encoders to preprocess packets for payload-aware intrusion detection | |
Basati et al. | PDAE: Efficient network intrusion detection in IoT using parallel deep auto-encoders | |
CN113162893B (zh) | 基于注意力机制的工业控制系统网络流量异常检测方法 | |
He et al. | Deep-feature-based autoencoder network for few-shot malicious traffic detection | |
Al-Haijaa et al. | Machine learning based model to identify firewall decisions to improve cyber-defense | |
Mylavarapu et al. | Real-time hybrid intrusion detection system using apache storm | |
CN112995150A (zh) | 一种基于cnn-lstm融合的僵尸网络检测方法 | |
CN111130942B (zh) | 一种基于消息大小分析的应用流量识别方法 | |
CN112491894A (zh) | 一种基于时空特征学习的物联网网络攻击流量监测系统 | |
Chen et al. | RIDE: Real-time Intrusion Detection via Explainable Machine Learning Implemented in a Memristor Hardware Architecture | |
Setitra et al. | Feature Modeling and Dimensionality Reduction to Improve ML-Based DDOS Detection Systems in SDN Environment | |
CN115277888B (zh) | 一种移动应用加密协议报文类型解析方法及系统 | |
CN114358177B (zh) | 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统 | |
Du et al. | A Few-Shot Class-Incremental Learning Method for Network Intrusion Detection | |
CN114048799A (zh) | 一种基于统计信息和有效载荷编码的零日流量分类方法 | |
Fahad et al. | Applying one-class classification techniques to IP flow records for intrusion detection | |
Li et al. | Cyberspace attack detection based on advanced initialized recurrent neural network | |
CN116582301B (zh) | 基于拉普拉斯金字塔的工控网络异常流量检测方法、系统及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |